簡介
醫療保健行業正受到前所未有的攻擊。在新冠肺炎大流行的早期，網路犯罪活動開始激增，而現在已轉移到針對全球醫療保健行業。最近針對聖地亞哥的Scripps Health、愛爾蘭的國家衛生服務局和紐西蘭的 Waikato 醫院的破壞性勒索軟體攻擊顯示了醫療行業的風險水平。由於存有寶貴的個人和財務數據，醫療保健行業一直都是網路犯罪分子的目標。然而，最近更具侵略性和破壞性的策略如勒索軟體攻擊與雙重勒索，這些正在給這個關鍵服務部門帶來難以置信的負擔。雖然這些攻擊自去年以來急劇增加（勒索軟體增加了123%，數據泄露增加了25%），但它們並不是憑空出現的。雖然COVID-19給醫療系統帶來了巨大的壓力，使工作人員和預算達到了極限，但在大多數情況下，攻擊者一直在利用長期存在於這個行業的安全缺陷。

電子健康記錄（Electronic Health Record,  EHR）
在過去的二十年裡，醫療保健的攻擊面已經大大增加，特別是隨著電子健康記錄、無線醫療設備的採用以及遠程醫療和遠程工作的出現，這兩種情況都因大流行病而加快了。向 EHR 的過渡使得勒索軟體和數據盜竊攻擊對醫療機構的成本和破壞性大大增加。它也增加了網路攻擊對醫院基本運營能力造成破壞的可能性。

遠端連線帶來的安全隱憂
醫療設備的新連線功能意味著關鍵設備現在更直接地暴露在攻擊者面前。急於實現遠程工作，使得駭客更容易通過員工對醫療網路進行後門攻擊。特別值得關註的是，醫院員工廣泛使用遠程桌面協議 RDPs 和遠程訪問 VPNs。如果軟體漏洞被利用或攻擊者直接針對終端用戶，這兩種技術都會給組織帶來巨大的風險。研究人員發現， Ryuk 勒索軟體越來越多地以 RDP 為目標，特別是在醫療保健領域。在整個 2020 年，駭客對 RDP 的攻擊增加了 768%，同時還有遠程訪問 VPN 。駭客 TrueFighter 被記錄在案，他試圖以 3000 美元的價格向一家醫院出售管理員級別的訪問權。勒索軟體犯罪分子也一直在利用 Citrix ADC 控制器和 Pulse Connect Secure 的 VPN 漏洞來獲取醫院網路的訪問權。

過時且未修復的系統
醫療行業的一個長期問題是使用過時的和/或未打修補程式的系統和設備。這個問題在很大程度上可以歸因於預算壓力，無論是在設備成本還是在裝備精良的 IT 安全操作方面。像核磁共振儀這樣的醫療設備是很昂貴的，這就是為什麼醫院經常把這些設備保留多年，甚至幾十年，超過了它們的黃金時期。因此，這些醫療硬體往往依賴過時的、不支持的 Windows 版本來管理 X 射線、核磁共振和 CT 掃描儀等系統。去年研究人員發現，醫院里 83% 的醫療成像設備，如核磁共振和乳腺 X 光機，都在運行不支持的 Windows 操作系統，並且仍然沒有針對眾所周知的漏洞進行修補。然而，這個問題可以追溯到更早。 2016 年， HIPAA 雜志報道了三家醫院通過傳統的醫療設備感染了惡意軟體（攻擊者使用了Windows XP的 「古老漏洞」），盡管在更廣泛的網路上安裝了現代網路安全防禦系統。除醫療設備外，醫院也在努力為其他設備和軟體更新修補程式。2014年，研究人員發現，一家大型醫療機構暴露了連接到其網路的 68000 個系統的信息。這些系統都沒有修補其版本的 Windows XP 中的一個六年前的漏洞。

扁平化的網絡
醫院還經常缺乏適當的網路分段，這增加了組織的整體攻擊面和攻擊者橫向移動的風險。特別值得關註的是醫療設備的暴露，這些設備通常與主網路相連並可到達。醫療保健行業對分段的態度鬆懈，構成了一個真正的問題，特別是由於這些網路保持著許多傳統的設備。醫院應該積極使用 VLANs、子網、訪問控制列表和防火牆，但這些往往沒有得到徹底實施。2019 年的一項研究發現，醫療行業 49% 的分段部署在這些網路中使用了不到 10 個 VLAN 來支持所有醫療設備。而這一組中近一半的醫療保健公司只使用了一個 VLAN。在 2020 年的後續研究中，發現 60% 的醫療機構將其 IT 設備（如計算機和印表機）與醫療設備捆綁在同一 VLAN 內。

第三方安全風險
醫院有多樣化的第三方生態系統，這帶來了許多安全挑戰。這些第三方包括從外部醫生、醫療診所和診斷實驗室到軟體供應商、計費服務、保險、設備供應商、服務提供商和其他承包商。這些第三方中的任何一個出現紕漏都會直接影響到醫院，因為這些外部組織中的許多人要麼能直接接觸到病人信息，要麼能在醫院的網路上有某種特權訪問。近年來，這種情況已經發生了很多次，難以計數。在過去的兩年中，比較引人註目的幾個案例是 AMCA、Dominion National、Dental Care Alliance 和 Central Files 的數據泄露事件，以及 Blackbaud 勒索軟體攻擊事件。

總結
雖然正常運營對任何現代企業來說都是至關重要的，但對醫院來說尤其重要，因為它們在很大程度上依賴數字技術，如電子病歷、臨床信息系統（CIS）和醫療點終端來安全和有效地運作。這些服務的任何中斷都會影響到病人的治療，並可能使病人的生命受到威脅。這使事件響應和補救工作進一步復雜化。在決定關閉系統以隔離威脅並防止橫向傳播時，必須權衡這對關鍵醫療服務和病人需求的更廣泛影響。即使在疫情結束後，對醫療保健的網路威脅也不會放緩。醫院需要採取更積極的行動來加強自身對這些攻擊的防禦。他們還需要增加對網路安全的投資。網路分割、及時安裝修補程式、軟體/固件更新、安全數據備份和嚴格的訪問控制都是深入防禦戰略的重要組成部分，一個龐大且資源充足的IT安全團隊可以管理這一切。

然而，醫療行業不能獨自完成。醫療保健是任何國家的一個關鍵部門，只有通過公共和私營部門的共同努力，才能保證其免受惡意活動的影響。先進的防禦工具需要更容易被醫療部門使用，必須鼓勵各組織之間的信息共用，所有部門之間的合作，以幫助保護這些拯救生命的行業。

參考資料：
https://threatpost.com/healthcare-prey-ransomware-cyberattacks/167525/